788
解讀:利用機器學習技術抵禦未來網絡威脅
在我們許多人的眼中,機器無需人類教受便能夠自主學習是科幻小說或電影中的情節。而科幻電影給我們留下的印象往往是邪惡計算機企圖統治世界。但當人工智能和機器學習成為我們生活中的一部分,並且用於保護人類和財產安全時,這是不是很有意思?
作為全球最大的網絡安全公司,賽門鐵克調查發現,每年全球都會發生超過10萬億起安全事件,平均每天會發現超過100萬個惡意軟件。如今,單靠人類和傳統係統根本無法理解和處理當下的海量數據,並將它們轉化為實用的情報。這促使我們開發和試驗新技術以解決這一難題,而其中,機器學習和人工智能成為研究的重點。
機器學習是什麼?它與人工智能有何不同?
盡管當下的數字助手、Siri、Friends、數據挖掘、計算機視覺和工業應用等技術已令人驚歎不已,但事實上,我們仍處於機器學習和人工智能發展的初級階段。實際上,雖然這些概念已經提出超過60年,但直至最近十年,這些技術才取得真正的實質性發展。
機器學習和人工智能密切相關,但也存在顯著差異。機器學習無需特別編程,便能夠從輸入和經驗中進行學習,而人工智能則需要機器去感知和模仿人類的行為。以自動駕駛汽車為例,識別行人可以被理解為機器學習,但在抵達目的地之前的行駛過程中所處理的所有內容則是人工智能。
機器學習在網絡安全領域的應用
隨著越來越多的企業擁抱數字化,保護自身企業的措施也必須進行演進。主動抵禦安全風險,要比被動響應風險更加至關重要。現在,威脅和設備數量以及網絡規模如此龐大,人類和傳統係統根本無法充分理解安全威脅,並建立關聯。因此,我們必須求助於機器學習和人工智能,確保能夠領先網絡攻擊者一步。
在網絡安全領域,機器學習和人工智能作為助力手段,為我們提供了新的機遇--係統能夠理解數據,並提供我們需要關心和采取行動的信息,這能夠極大地提高安全分析師的工作效率。
機器學習在網絡安全中的應用主要集中在三個方麵:威脅檢測、異常檢測,以及用戶行為分析。
以威脅檢測為例,我們委托機器學習係統檢測新型未知文件,並確定該文件是否構成威脅。要做到這點,它必須通過查看已知惡意文件(已確定的惡意文件)進行學習,它所查看的樣本數量越多,就會越了解這些樣本的特征(屬性、組件、行為),也就越能夠檢測和發現未知文件。這是一個持續自我改善與提升的過程,通過發現和吸納已核實的新結果,不斷提升機器學習的能力。
而對於異常檢測而言,它需要係統檢測行為模式,並基於此自動構建配置文件。在自動駕駛汽車等封閉係統中,係統會觀察車輛的所有組件以及它們之間的通信方式,並為正常狀態構建一個基準模型。當發生超出該模型的異常事件時,係統就會提示異常。由於數據可用性的挑戰,對互聯網等開放係統的異常檢測變得極為難以實現。隻有以海量數據為樣本時,才能實現真正有效的檢測。賽門鐵克憑借來自億萬係統的遙測數據資源,能夠實現有效異常檢測。
機器學習在這兩方麵為我們構建出色的工具提供了支持,使賽門鐵克能夠領先網絡攻擊者一步。威脅檢測幫助我們發現全新未知的惡意軟件,而異常檢測則能夠幫助我們查看網絡或係統是否受到攻擊,或是否需要進一步調查。
數據是機器學習的動力之源。而大數據則是賽門鐵克機器學習方法的核心。得益於在端點、網絡和雲安全的廣泛足跡,我們從來自不同企業、行業和地區,並處於實時監測下的1.75億端點和 5,700萬攻擊傳感器中收集了廣泛的威脅與攻擊數據。這些數據意味著數十億文件和近四萬億關聯信息。這是一個龐大而豐富的數據集,能夠訓練分類係統去分辨哪些是“無害”、“惡意”,以及介於兩者之間的數據和內容。我們擁有的數據越多越豐富,檢測就會越精確越高效。
Symantec Endpoint Protection 14 解決方案能夠在端點和雲端部署高級機器學習,同時充分利用雲中附加的人工智能機製和賽門鐵克的全球智能情報網絡。
展望未來
最終,我們需要能夠構建出色的情報安全係統,並確保它們擁有比威脅發展更快的速度進行學習,還能夠預測新的攻擊。我們可以利用機器去搜索暗網,無需查找關鍵詞,便能夠理解和解讀以任何語言所進行的討論,並將這些內容導入人工智能,將它們與所有其他機器學習輸出進行整合,從而最終實現感知、檢測和生產。
盡管機器智能的概念存在已久,但真正意義上的發展還是開始於近年。我們對於機器學習和人工智能將威脅監測帶入新的領域感到興奮不已。如果能夠正確利用人工智能與機器學習,並與端點和雲端廣泛而豐富的數據相結合,這些技術將徹底改變打擊網絡犯罪的方式。
隨著計算能力和數據量的提升,人工智能和機器學習也在快速發展。每當我們在網上購物、使用ATM機 、或者瀏覽廣告時,智能機器都正在保護著我們。雖然現實生活中並沒有統治世界這種驚心動魄的故事,但它們的出現至少會讓我們睡得更加踏實。
本文作者:Nick Savvides
來源:51CTO
最後更新:2017-11-02 16:04:45